iTerm2 是非常流行的終端模擬器，被許多開發者與系統管理員廣泛使用，不少人甚至會用它來處理一些不受信任的數據，因此MOSS（Mozilla Open Source Support Program） 這次選了iTerm2 ，並委託ROS（Radially Open Security）進行安全審核工作。

據了解，這個漏洞在iTerm2中已存在長達7年，目前分配到的編號為CVE-2019-9535。這個漏洞可以讓攻擊者在使用者電腦上執行命令。

說起漏洞，iTerm2 這個重大的安全漏洞由MOSS 資助的安全審核團隊發現，MOSS 於2015 年成立，從那時起就開始為開源開發者提供資金支持、協助開源與自由軟件的發展。同時還支持開源技術的安全審核，MOSS 的資金正是來自Mozilla 基金會，以確保開源生態健康發展。

ROS發現iTerm2中的tmux整合功能有嚴重的漏洞，而且漏洞至少已經存在7年。簡單來說，在大多數情況下，允許攻擊者可對終端產生輸出，也就是能在用戶的電腦上執行命令。ROS提供了攻擊的demo，而視頻內容主要是進行表達概念性驗證，因此當用戶連接到惡意的SSH 服務器後，攻擊者僅示範開啟的計算機程序，實際上還可以進行更多惡意指令。

Mozilla 則提到，這個漏洞需要與用戶進行一定程度的互動，然後攻擊者才能進行後續的攻擊行動，但是由於使用普遍認為安全的指令就會受到攻擊，因此被認為有高度的潛在安全影響。現在Mozilla、ROS 與iTerm2 開發者密切合作，推出了最新3.3.6 版本，而3.3.5 的安全修補程式也已經發布。Mozilla 表示，雖然軟件會主動提示更新，但是希望開發者能主動進 行更新，減少可能被攻擊機會。

目前iTerm2 開發者現在已經發布最新的3.3.6 版本，Mozilla 也提醒使用者應該要盡快更新。